پلتفرم قدرتمند webmin با پیاده سازی یک محیط گرافیکی تحتوب، امکانات کاملی جهت مدیریت و نگهداری سرورهای لینوکسی در اختیار مدیران سرور قرار میدهد. آسیبپذیری بحرانی با شناسه CVE-2022-36446 در نرم افزار webmin، اجازه اجرای کد را در اختیار کاربر مهاجم قرار میدهد. این آسیبپذیری در نسخه های پایینتر از 1.997 وجود دارد. مهاجم برای بهرهبرداری از این آسیبپذیری نیاز به دسترسی حداقلی دارد، سپس با بکارگیری این آسیب پذیری میتواند هرگونه دستوری را بر روی سیستم قربانی اجرا کند.
نرم افزار Webmin برای نصب و بروزرسانی از ابزارهای مدیریت پکیجهای سیستمعامل از (apt، yum و غیره) استفاده میکند. به دلیل عدم پاکسازی ورودی، امکان تزریق و اجرای دستور دلخواه وجود دارد. لذا برای استفاده از این آسیب پذیری کاربر باید به ماژول "به روز رسانی بسته نرم افزاری" دسترسی داشته باشد. این آسیب پذیری از مسیر فایل /package-updates/update.cgi تزریق و اجرا میگردد.
توصیه میگردد جهت رفع این آسیبپذیری، نرم افزار webmin بروزرسانی نموده و آخرین نسخه نصب گردد.
منابع:
https://nvd.nist.gov/vuln/detail/CVE-2022-36446
https://medium.com/@emirpolat/cve-2022-36446-webmin-1-997-7a9225af3165
- 282